Wie kann man ein Unternehmen vor Cyber-Angriffen schützen, wenn die Mitarbeiter von überall arbeiten und ihre privaten Geräte verwenden? Das alles geht mit Zero-Trust. Wie das funktioniert, erklärt Julia Jaeger in diesem Video.
Unter der Grenze oder auch Perimeter eines Unternehmens versteht man die Grenze zwischen der Außenwelt und den internen IT-Systemen. Ursprünglich war die IT-Infrastruktur ein überschaubarer Bereich mit fest definierten Schnittstellen zur Außenwelt. Ein Unternehmen verfügte über ein Rechenzentrum, in dem sich die Server und Netzwerkkomponenten befanden. Es gab wenige Schnittstellen zur Außenwelt. Diese konnten leicht überwacht und gesichert werden. Eine solche Schnittstelle ist eine demilitarisierte Zone oder kurz DMZ genannt. In der DMZ befinden sich IT-Systeme, die von extern, also aus dem Internet, erreichbar sein sollten. Hierzu zählen zum Beispiel Webserver, Mail-Server oder VPN-Server. Diese Services müssen von extern erreichbar sein und Stelle daher eine Schnittstelle zur Außenwelt dar. Meist war die DMZ die einzige Schnittstelle zur Außenwelt. Die Mitarbeiter hatten ihre festen Arbeitsplätze im Firmengebäude. Diese waren von außerhalb des Unternehmens nicht erreichbar
Als nächsten kamen Drittanbieter oder auch Third Party genannt, welche einzelne Services für ein Unternehmen übernehmen. Die Verbindung zu den Drittanbietern stellt eine weitere Schnittstelle zu der Außenwelt dar, die gesichert werden muss.
Mit der Entwicklung der Smartphones kam auch der Trend seine privaten Geräte für berufliche Zwecke zu nutzen. Dies wird als „bring your own device“ bezeichnet. Auch diese Entwicklung führt dazu, dass sich die Perimeter des Unternehmens immer weiter vergrößert. Es entstehen mehr und mehr Schnittstellen zur Außenwelt, die ein potenzielles Einfallstor für einen Cyber-Angriff sein können. Diese müssen alle überwacht und gesichert werden.
Im Jahr 2019 hat sich Corona über die Welt verbreitet. Das hat dazu geführt, dass die Unternehmen in sehr kurzer Zeit eine remote Arbeitswelt schaffen mussten, damit das Überleben der Unternehmen gesichert werden kann. Auch diese Entwicklung vergrößert die Perimeter des Unternehmens. Die Anzahl der Schnittstellen zwischen einem Unternehmen und der Außenwelt expandieren enorm. Je größer die Perimeter des Unternehmens, desto mehr Möglichkeit hat ein Angreifer in das Unternehmen einzudringen. Auf der anderen Seite muss das Unternehmen auch mehr Schnittstellen sichern. Dies erfordert eine große Anzahl an Ressourcen, die über IT-Security verwendet werden.
Fassen wir das Ganze noch einmal zusammen. Mit einem immer größer werdenden Perimeter verschwimmen die klaren Grenzen zwischen einem Unternehmen und der Außenwelt. Der Schutz der Perimeter wird dadurch aufwendig, teuer und ist daher nicht mehr wirtschaftlich. Daher brauchen Unternehmen neue Konzepte, um sich vor Cyber-Angriffen zu schützen. Eines dieser Konzepte ist Zero Trust.
Mit Hilfe von Zero Trust kann der Schade eines Cyber-Angriffs minimiert werden!
In einem traditionellen Sicherheitsmodel gehen wir davon aus, dass wir allem was sich im Firmennetzwerk befindet vertrauen können. Zero Trust geht nun davon aus, dass nichts vertrauenswürdig ist, was sich im Firmennetzwerk befindet. Daher ist es erforderlich, dass sich jede Person und jedes Gerät authentifizieren muss. Zero Trust basiert auf drei Prinzipien.
- Verification: Jeder Zugriffsversucht wird autorisiert und authentifiziert, bevor Zugriff gewährt wird.
- Least Privileged Access bedeutet, dass bei einem Zugriff nur die Informationen bereitgestellt werden, die unmittelbar für den Geschäftszweck benötigt werden.
- Assume Breach bedeutet, dass Komponenten im Unternehmen voneinander isoliert sind. Sobald eine Komponente durch einen Angreifer kompromittiert wird, hat dies keine Auswirkungen auf andere Komponenten. Der Angreifer kann schnell isoliert werden und die kompromittierten Teile des Netzwerks können somit schnell ausgetauscht werden, damit der Geschäftsbetrieb ohne Unterbrechung fortgesetzt werden kann.
Mit Hilfe von Zero Trust kann der Schaden eines Cyber-Angriffs minimiert werden. Für einen Angreifer wird es schwerer sich im Netzwerk auszubreiten, da es nun zusätzliche Hürden gibt, die er überwinden muss.
Wie kann man Zero Trust in einer. Sicherheitsarchitektur umsetzen? Hierzu hat das NIST die Empfehlung „Zero Trust Architecture“ in der Special Publication 800-207 herausgegeben. Im Zero Trust Architektur Modell wird die gesamte IT-Infrastruktur als nicht vertrauenswürdig angesehen. Das hat zur Folge, dass die Teilnehmer einer Kommunikation sich vor jeder Verbindung gegenseitig autorisieren und authentisieren müssen. Dies kann man als eine Art Mikrosegmentierung bezeichnen. Diese geht weit über das hinaus, was man in IT-Netzwerken als Netzwerksegmentierung oder Zonierung bereits kennt.
Die Theorie von Mikrosegmentierung ist einfach, aber die Umsetzung in der Praxis stellt für Unternehmen große Herausforderungen dar. In Unternehmen existieren oft eine große Anzahl an heterogenen Technologien, die nicht alle gut miteinander integrierbar sind. Eine Zero Trust Architektur erfordert einen weitreichenden Zugang zu Infrastrukturen und Betriebssystemen, um korrekt arbeiten zu können. Dies ist besonders bei sehr stark abgeschlossenen Systemen oft nicht oder nur mit sehr viel Aufwand möglich. Zero Trust erfordert eine starke Integration von Technologie. Oft werden Agenten benötigt, die auf Endpunkten und auf den mobilen Geräten installiert werden müssen.
Damit man Zero Trust erfolgreich umsetzen kann, sollten die folgenden vier Phasen durchlaufen werden.
Phase: 1 Discovery: In dieser Phase werden die vorhandenen Assets identifiziert und bewertet. Hier kann das Network Monitoring helfen, damit Assets erkannt, klassifiziert und kategorisiert werden können. Zusätzlich werden die Datenflüsse von sensitiven Informationen erkannt.
Phase 2 Deployment: Damit Mikrosegmentierung umgesetzt werden kann muss es eine Policy Engine geben, um Zugriffsberechtigung durchzusetzen. Die Zugriffsberechtigungen werden bei jedem Versuch eines Zugriffs auf Assets gemäß der vorhandenen Policies ausgewertet und durchgesetzt. Hierbei ist es wichtig, dass die Policies auf dem „Least Privilege“ Ansatz basieren. Dieser besagt, das immer nur soviel Zugriff gewehrt wird, wie zur Erfüllung der unmittelbaren Aufgabe notwendig ist.
Phase 3 Detection: Es muss Security Monitoring aufgebaut werden, um den Netzwerk Verkehr und Aktivitäten auf lokalen Systemen zu überwachen. Dies umfasst lokale Systemdienste, verwendete Anwendungen, Pakete und Protokolle im Netzwerk und Services, die im Netzwerk verfügbar sind. Festgestelle Anomalien werden über das Security Incident Management behandelt. Zu Security Incident Management verlinke ich hier oben ein anderes Video. Incident Response was ist das? (Incident Response Management leicht erklärt).
Phase 4 Response: Das Ziel dieser Phase sollte es sein automatisiert auf bestimmte unerwünschte Ereignisse reagieren zu können. Hierzu können bestimmte Use Cases und Runbook automatisiert werden, um die meist knappen Ressourcen an Security Analysten zu entlasten. Der Einsatz von künstlicher Intelligenz kann hier einen sinnvollen Beitrag leisten. Die künstliche Intelligenz muss zuvor allerdings lernen, was normale Aktivitäten sind, um später verlässlich Anomalien erkennen zu können.
Zusammenfassen lässt sich sagen, dass ein Unternehmen zur Umsetzung von Zero Trust beginnen sollte herauszufinden, welche Assets vorhanden sind. Eine Möglichkeit wäre über passives Netzwerk Monitoring und der Analyse der Datenflüsse. Dies geht mit Hilfe von Netzwerk Monitoring.
Als nächstes sollte eine Zero Trust Architektur entwickelt werden, die berücksichtigt, wie Daten durch das Netzwerk fließen. Dabei ist es wichtig zu berücksichtigen, wie Benutzer, Services und Anwendungen auf sensitive Daten zugreifen.
Abschließend sollten Systeme, Services und Anwendungen kategorisiert werden, um eine Baseline zu erstellen. Diese Baseline umfasst das Verhalten der Benutzer und die Art wie und wohin Daten im Netzwerk fließen.